FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.5 Oppdragsgivers oppfølging av leverandørforhold

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Oppdragsgivers sikkerhetsoppfølging av leverandører

Veilederen sier at leverandøren har et selvstendig ansvar for nødvendige sikkerhetstiltak, men at oppdragsgiver også har et eget sikkerhetsmessig oppfølgingsansvar. Oppdragsgiver skal forsikre seg om at leverandøren har nødvendig risiko- og sikkerhetsforståelse og oppfyller krav til forebyggende sikkerhetsarbeid i den konkrete anskaffelsen. Dette betyr at sikkerhet ikke avsluttes ved kontraktsinngåelsen. Oppdragsgiver må etablere mekanismer for å få informasjon om endringer og hendelser som kan påvirke risikovurderingen og behovet for sikkerhetstiltak. For sikkerhetsgraderte anskaffelser understreker teksten også en plikt til å ha oversikt over anskaffelsene, leverandørene og underleverandørene, samt å oversende en årlig oversikt til NSM.

Betydning for anskaffelser

Kilden brukes når spørsmål gjelder oppfølging av leverandører etter kontraktsinngåelse i sikkerhetsgraderte anskaffelser. Den er relevant ved vurdering av om oppdragsgiver har etablert tilstrekkelig kontroll, om leverandøren er fulgt opp på sikkerhetskrav, og om virksomheten har oversikt og rapportering til NSM. Den er også relevant ved tvister eller interne revisjoner om manglende oppdatering av risiko, hendelser, leverandørkjede og sikkerhetstiltak.

Sentrale kildepunkter

  • Leverandøren har et selvstendig ansvar for «iverksetting av nødvendige sikkerhetstiltak».
  • Oppdragsgiver har «et sikkerhetsmessig oppfølgingsansvar overfor leverandøren».
  • Oppdragsgiver skal «forsikre seg om» risiko- og sikkerhetsforståelse og oppfyllelse av forebyggende sikkerhetsarbeid.
  • Det skal etableres mekanismer som fanger opp «endringer eller hendelser» med betydning for risiko og sikkerhetstiltak.
  • Oppdragsgiver skal ha oversikt over «alle sikkerhetsgraderte anskaffelser» samt leverandører og underleverandører.
  • Oversikten over pågående sikkerhetsgraderte anskaffelser skal «årlig oversendes til NSM».
  • Teksten fremhever også at NSM bør holdes «fortløpende oppdatert» om leverandører og nivå på anskaffelsen.

Berørte bestemmelser

  • SIKKERHETSLOVEN – Kilden gjelder sikkerhetsgraderte anskaffelser, leverandøroppfølging og oversendelse av oversikt til NSM.
Fulltekst

Selv om leverandøren har et selvstendig ansvar for iverksetting av nødvendige sikkerhetstiltak, har oppdragsgiver et sikkerhetsmessig oppfølgingsansvar overfor leverandøren. Oppdragsgiver skal forsikre seg om at leverandøren har nødvendig risiko- og sikkerhetsforståelse og at leverandøren oppfyller krav til forebyggende sikkerhetsarbeid som er nødvendig i den konkrete anskaffelsen.38 Det er viktig at oppdragsgiver etablerer gode mekanismer for å følge opp leverandører de benytter i sin virksomhet, slik at de får informasjon om endringer eller hendelser som kan ha påvirkning på vurderingen av risiko og hvilke sikkerhetstiltak som er nødvendig. Oppdragsgiver skal ha oversikt over alle sikkerhetsgraderte anskaffelser de gjennomfører, og hvilke leverandører og underleverandører de benytter seg av i sikkerhetsgraderte anskaffelser. Oversikten over pågående sikkerhetsgraderte anskaffelser skal årlig oversendes til NSM som er ansvarlig for å føre register over sikkerhetsgraderte anskaffelser. Med hensynvisning til NSM sitt ansvar for å gjennomføre tilsyn med leverandører til sikkerhetsgraderte anskaffelser er det viktig at oppdragsgivere overholder plikten til å føre oversikt og formidle denne til NSM.39 I tillegg til den årlige oversikten er det ønskelig at virksomheter holder NSM fortløpende oppdatert om leverandører de benytter i sikkerhetsgraderte anskaffelser og nivå på anskaffelsen, slik at NSM til enhver tid har oversikt over hvilke virksomheter som er underlagt sikkerhetsloven som leverandører.